刘明东，丁珊妮，王佳楠，徐亦虹，王金瑞，张笑笑，潘红英

（浙江大学医学院附属邵逸夫医院护理部，浙江 杭州 310000）

护理信息安全是指护理人员通过物理、 技术和管理3 方面提升对医疗信息重要性的认识， 并做到安全地使用护理信息设备，防止信息数据遭到破坏、更改和泄露[1]，是医疗信息安全的重要组成部分。 国外对护理信息安全的研究可追溯到20 世纪50 年代初，Bruck[2]开展了护士对医疗信息保密态度的研究。 20 世纪60 年代，Zachary[3]强调了护士在医疗信息保密方面的作用。近些年，国外学者的研究更注重护士信息安全态度、行为和能力等方面，以及从信息技术和管理控制等防止护理信息泄露、 更改和破坏[1，4-5]。 而我国相关研究起步较晚，且局限于从信息安全素养[6]、信息安全管理能力[7]等方面构建评价指标体系， 对于如何保障护理信息安全尚未引起足够重视。 笔者旨在对护理信息安全存在的主要问题及解决对策进行综述， 以期为我国护理信息安全相关研究提供参考。

1 护理信息安全存在的主要问题

1.1 护理信息物理安全问题

1.1.1 医院工作环境隐患 医院工作环境中存在的隐患是影响护理信息物理安全的重要因素之一，由于医院早期建设不合理， 病房的空间布局存在着空间狭小、床位容量少的现状，导致病床之间距离过于接近及楼道内加床等问题[8]。 当护士在病房或走廊使用移动护理车等设备时， 容易引发未经授权的非法物理访问，造成信息数据的泄漏。 此外，护士工作站位于公共区域， 相关计算机等设备存在着被患者或家属非法物理访问的风险[1]。 因医院内部结构不合理和病房空间局限性造成的信息泄露案例逐渐增加，一定程度上加剧了护理信息安全风险。

1.1.2 自然环境潜在风险 自然环境潜在风险不会直接从系统软件和数据层面影响护理信息安全，但相关自然灾害对计算机硬件设备能造成不可逆破坏的影响，如地震、台风、洪水、火灾和暴风雨等[9]。由于护理信息数据通常存储在组织服务器中， 一旦发生自然灾害， 将导致医院的供应系统及服务器等相关设备发生故障，如停电、通信中断等，造成护理信息系统（Nursing information system, NIS）等设备无法正常使用[5]，进而影响护理工作的正常开展，甚至造成护理信息数据的损坏或丢失。

1.1.3 护理信息设备自身故障 护理信息设备在临床护理工作中扮演着至关重要的角色， 其自身问题会严重影响物理安全， 常见的护理信息设备故障包括不稳定性[5]、不可靠性[10]和不可用性[11]。 其中稳定性是指设备在一定时间内不出故障的概率； 可靠性是指设备能在一定时间内正常执行任务的概率；可用性是指设备随时可以正常使用的概率。 王玉坦等[12]指出，国内对NIS 的应用仍处于起步阶段，在临床应用上仍落实不到位， 这主要受医院局域网易造成设备不稳定的影响。加之NIS 自身功能欠缺、软件和计算机系统不兼容[12]等问题，进一步增加了护理信息设备的故障率，甚至有时造成不可用的现状。护理信息设备的自身故障不仅影响护理工作的准确性、及时性和有效性，严重时会危及患者的财产安全和人身安全。

1.2 护理信息技术安全问题

1.2.1 黑客入侵 黑客入侵是指黑客通过未经授权访问帐户或计算机系统入侵数字设备和网络的行为，包括拒绝服务攻击、社交工程攻击和恶意软件攻击等[13]。 2017 年5 月，WannaCry 勒索软件对英国国民健康服务系统发起一场破坏性攻击， 导致大量医疗数据被加密，严重阻碍了患者的诊疗和护理流程[14]。基于NIS 建立的临床护理工作模式打破了传统护理工作对患者信息的收集、存储和应用方式，提升了护理工作效率[11]，但是也造成了黑客攻击等潜在风险的发生，如身份欺骗、网络钓鱼等，威胁了信息数据在传输过程中的安全， 可能会导致护理信息数据的泄漏或缺失。

1.2.2 病毒感染 计算机病毒是指一种能够通过计算机程序加入自我复制的恶意软件程序， 具有破坏性、复制性和感染性的特点[13]。 梁蓉等[15]指出护士因未及时升级、 更新杀毒软件， 导致NIS 遭受病毒感染，诱发了患者信息被盗的危害。尽管医院计算机硬件不断修复和完善自身漏洞， 但病毒植入人员也在修改病毒程序[16]，严重地消耗计算机内存和磁盘空间，造成网络堵塞或系统瘫痪，甚至以格式化磁盘、修改文件和删除重要数据等方式危害信息安全，给护理信息技术的安全保障和护理信息环境的安全维护带来严峻挑战，并阻碍了护理信息化建设的进程。

1.2.3 技术缺陷 医疗信息技术的发展推动了健康记录数字化，为信息数据的收集、处理、传输和存储提供了新途径， 但也存在着技术缺陷增加患者信息泄漏的可能性，如操作系统、应用程序或网络设备的技术漏洞[16]。 Zandona 等[17]指出信息设备的技术开发问题会引发网络攻击，如开发阶段时存在安全漏洞、未进行充分测试等， 使得医疗机构面临无法有效应对的技术安全协议。在护理信息设备的开发过程中，以计算机软硬件为结构的NIS 大多较为简单， 容易因安全机制构建不当、技术缺陷等因素，导致护理信息安全受到技术缺陷的威胁。

1.3 护理信息管理安全问题

1.3.1 护士的信息安全认知有待提升 研究指出，约70%医疗数据的泄露是由医护人员对于规章制度和信息安全认知有限所致[18]。 Nahm 等[19]指出，护士在处理患者信息数据时缺乏对信息安全管理的认识， 甚至有护士认为信息安全的含义与患者的信息安全无关， 将其理解为仅与计算机系统组件相关的技术安全问题。 此外，Yeng 等[20]指出，信息安全知识对护士的信息安全实践有着直接或间接的影响，护士的信息安全行为取决于信息安全认知水平。 而护士的信息安全态度往往是基于其在保障护理信息安全过程中的认知，这些认知不仅影响他们的态度，还在很大程度进一步影响实践中的信息安全行为。

1.3.2 护士的信息安全行为有待规范 医护人员有意或无意地滥用用户角色权利的越权操作行为也是威胁护理信息安全的重要因素。 访问控制越权[13]是指用户角色权利的使用超出了其特定的时间和空间限制条件，即滥用和冒用。 Kamerer 等[21]指出护士存在违规越权访问患者信息的行为， 并引发了内部和外部类型的网络威胁， 给患者的信息安全造成了较大影响。而Farzandipour 等[22]指出护士对NIS 等信息设备的使用仅局限于患者的护理流程， 欠缺维护NIS 等设备的安全管理行为， 如护士未能及时关闭电脑界面，致使在无医护人员的情况下，诱发患者或家属操作使用的隐患， 进而造成护理信息记录被窃取、篡改等恶果。

1.3.3 护理信息安全管理机制有待完善 部分医院对护理信息安全缺乏足够的重视， 导致信息安全管理制度在安全策略、 安全审计和风险评估等方面存在较大缺陷。 Park 等[23]从医院缺乏全面信息安全管理体系、组织部门缺乏协调合作、信息安全人员短缺和信息系统管理漏洞等方面指出管理机制存在的问题。 我国冯雅娴等[24]从信息安全管理重视程度不足、责任不明确、考核体制不健全、应急预案制定不完善等角度， 指出目前医院存在的信息安全管理机制问题， 表明这些问题阻碍了护理信息安全管理机制的进一步建设。上述这些缺陷将导致误操作、网络攻击和信息泄露等问题的发生， 对护理信息安全构成较大的威胁。

1.3.4 护理信息安全法律法规有待健全 法律法规的不健全易导致护理信息安全管理缺乏规范和监管，使其更易受到技术威胁和恶意攻击的影响[25]。 在现有法律法规框架中， 信息安全相关法律法规比较完善，如《中华人民共和国信息保护法》、《中华人民共和国网络安全法》，但涉及护理信息方面的法律法规相对较少，缺乏明确的条款和规范性要求，不足以有效地保障护理信息安全。且在现有法规中，存在诸如维权代价过高的现状， 造成难以从根本上打击护理信息违法犯罪行为。证据表明，护理信息涉及的隐私和机密问题需要相关法律法规明确规定， 才能更好地保障患者的信息安全和权益[26]。

2 护理信息安全问题的解决对策

2.1 物理安全加强维护 护理信息设备安全以物理安全为基础， 物理安全是指通过制定灾难预防措施，保护信息设备和信息系统配置，应对内部和外部产生的威胁，以保障NIS 免受入侵和破坏[1]。

2.1.1 改善医疗工作环境 物理环境安全是医院计算机网络系统安全的前提，为改善医疗工作环境，避免不适当的物理访问，建议定义和指定安全区域[23]，重视病房内部空间的规划和设计， 确保患者的信息安全得到充分保障。同时，护士发现不相关人员进出病房时， 要能够有效封锁内部和外部的非法物理访问[5]。 对于病房建设不合理，应当对病房合理布局与分区， 各区域张贴醒目标识， 降低医院物理环境风险。物理环境需要不断优化，有必要从医院内部结构和病房空间设计进行升级，维护医疗工作环境安全，提升护理信息物理安全保障能力。

2.1.2 完善应急防灾策略 面对自然环境威胁，重点是加强医院机房的防护， 保障相关重要设备的正常运行，如备用发电机、通信系统等，降低设备的潜在风险。具体举措如保证机房内部足够干净整洁、干燥和温湿度适宜，不存在积水和漏水等[27]。 同时做好防雷击及震动保护处理， 尽量将外部自然因素对计算机设备的威胁降至最低。此外，为了有效防止自然灾害对信息数据造成的严重破坏， 及时做好异地备份等容灾备灾工作[28]，确保护理信息数据的安全性和可靠性。

2.1.3 健全设备保障系统 护理信息在信息设备中创建、处理和存储，要足够重视护理信息设备的稳定性、可靠性和可用性。要把相关设备放在指定的安全区域，严禁他用，并加强定期检查和维护[10]。 医院硬件结构的安全是NIS 安全的基础， 对于硬件设施水平提升带来的物理问题， 要在继续完善硬件设施的同时，重点健全设备保障系统[26]。 建议医院层面对老旧护理信息设备统计汇总，及时更新换代，确保24 h能够有效运行。

2.2 技术安全充分保障 信息安全的发展伴随着信息技术的发展， 护理信息安全是护理信息技术的先验条件。 技术安全是指通过控制信息系统的访问或使用能够增强安全性的软件， 保护患者的信息数据[1]。

2.2.1 应用防火墙技术 防火墙技术[13]是一种用来加强网络之间访问控制， 防止外部网络用户以非法手段访问内部网络资源， 保护内部网络操作环境的特殊网络互联设备。 为了提高系统的安全性和防止黑客攻击，应当灵活应用过滤防火墙、网关防火墙、服务防火墙、监控防火墙等[9]。 建议应用专业入侵检测系统对主设备运行与网络传输进行实施监控，既能分析外部入侵信号，又能加强内部管控操作[9]。

2.2.2 使用杀毒软件 杀毒软件的作用是消除电脑病毒，包含监控识别、病毒扫描与清除、主动防御等功能[13]。 医院从系统、网络和应用等方面对计算机设备更新升级的同时， 应当根据合理需求选择合适的杀毒软件，定期进行病毒扫描和清除处理，有效保护医疗数据安全。 建议应用统计分析法、签名分析法，强化网络监测与监控， 及时对病毒感染进行应对处理，提高应对病毒威胁的安全水平。

2.2.3 应用技术安全防护机制 针对技术缺陷问题，已有较多研究[1，29]围绕技术安全访问机制帮助护士保护患者的敏感信息，防止数据泄露。数据加密是保护敏感信息的重要手段之一， 采用加密技术对数据进行保护，可有效防止潜在的技术威胁，以及数据的泄露和篡改，保护信息数据的完整性。 Lin[29]指出护士是期望通过技术支持获得更完善的安全机制来保护患者的信息数据。 李雁等[30]指出在应用网络过程中，引入用户和组件的身份认证、细粒度的访问控制、数据操作安全审计、数据脱敏等技术机制，能够防止信息遭受未经授权的技术访问和泄漏。此外，通过云计算、区块链、人工智能、移动健康技术、大数据和机器学习等信息技术手段完善技术安全防护机制，提高医院系统和网络的安全性及稳定性，有效应对各种技术的潜在威胁。

2.3 管理安全深入强化 管理安全是指在法律、制度、计划和教育的基础上制定宏观防范措施，确保护理信息的安全和可靠[1]。

2.3.1 提升护理信息安全认知水平 护士要具备良好的卫生实践知识，如密码管理知识、软件更新、数据备份等信息安全内容， 保护患者的医疗记录和敏感信息， 降低信息安全的风险和保障患者的信息安全。 树立正确的信息安全意识对于提升护士的护理信息安全认知水平有着重要的意义，Kang 等[1]通过分析护理信息安全的概念， 在一定程度上能够提升护士对护理信息安全的理解程度。 Magdalinou 等[31]通过社交网络分析（Social Network Analysis，SNA）研究了164 名护士的交互和沟通模式， 揭示了护士潜在的信息安全风险点。 SNA 为识别和定位信息安全风险提供了精确工具， 利于制定针对性的信息安全培训和信息安全策略， 为提升护士的信息安全认知水平提供了有力支持。

2.3.2 规范自身护理信息安全行为 护理信息安全管理能力作为护士信息能力评价标准之一， 对培养和提升护士的信息安全能力有着重要的推动作用。Staggers等[32]制定的护士信息能力评价标准中，明确指出初级护士要掌握护理相关软件和电子化设备使用技能，对患者的信息做到安全管理。护士要能识别黑客对护理信息设备入侵展开的破坏行为， 以及明确患者医疗信息受到威胁时如何处理[23]。 对于访问控制越权等问题， 护士应当根据患者的护理需求和规定流程访问护理信息，建议从密码管理入手，避免与任何人共享用户名和密码，禁止密码张贴、明文存储密码和密码重复使用，实施强密码策略[33]，至少由8 个字符组成，包含大小写字母、数字、标点符号和特殊字符等。

2.3.3 健全护理信息安全管理机制 护理信息安全管理制度作为护理核心制度之一[34]，对于推动护理信息安全建设有着重要的意义。 为保障护理信息安全， 针对护士信息安全认识不足和行为有待规范问题，医院应当在完善管理机制的同时，积极展开教育培训，提升护士信息安全素养。 Kamerer 等[21]建议编制与护理相关的信息网络安全课程，从存取、使用和维护数据等方面开展教育培训。 我国刘小青等[35]通过成立护理信息小组， 加强护士的护理信息技术规范培训、考核和监督，从技术层面引导护士多参加相关模拟练习， 一定程度上解决了护理信息管理安全的工作职责问题。此外，医院应设立专管护理信息安全部门， 加强护士在护理信息安全相关岗位人员的设置和管理，定期组织护理信息安全的物理、技术和管理等知识科普讲座及竞赛等宣传教育活动， 立足基本信息安全法律法规， 让护士深入了解信息安全犯罪法及保密法相关内容， 增强护士的信息安全法制意识。

2.3.4 完备护理信息安全法律法规 《中华人民共和国民法典》[36]指出，医疗机构及其医务人员要对患者的隐私和个人信息保密，并确保患者的信息安全，造成患者信息泄露应当承担法律责任。 维护医疗信息化时代下的护理信息安全， 国家层面应当客观认识到立法的不足， 在当前法律法规基础上制定更加细化的保护条款和政策，提升法律法规的约束性，尤其要不断完善我国的信息安全等级保护制度和信息安全法律体系[27]。 其次，有关部门可借鉴国外信息安全相关人才培养模式， 构建我国护理学科与信息安全学科复合型人才的培训方案。此外，建议国家把护理信息安全与护士资格证考试相结合， 纳入护士继续教育体系， 并在相关课程中融入护理信息伦理和信息安全道德等知识， 运用综合对策培养护士的信息安全自我效能感。

3 展望

信息安全逐渐成为大数据时代的核心问题，防范护理信息安全风险至关重要。 我国的护理信息安全尚处于探索阶段，在保障物理环境安全、提升护理信息设备安全、 提高护理信息技术水平及护士信息技术能力、 完善护理信息安全管理制度和提升护士信息安全素养等方面任重道远， 应当顺应护理信息化时代的发展趋势， 从信息安全视角探索护理事业高质量发展路径， 加快构建富有我国特色的护理信息安全体系。综上所述，如何加强物理环境安全的保障，维护护理信息数据的机密性、完整性和可用性，提升护士对护理信息安全的认知水平和规范护士的信息安全行为， 促使护士基于保障护理信息安全提供高质量护理， 将成为护理信息安全进一步建设和探索的方向。